Tramite un comunicato stampa, Check Point Research, divisione Threat Intelligence di Check Point Software Technologies, ha annunciato di aver individuato un nuovo malware su Microsoft Store, chiamato Electron-bot, particolarmente presente in giochi molto popolari come "Temple Run" e "Subway Surfer".
Stando ai dati dell'azienda, Electron-Bot ha già infettato oltre 5.000 utenti in venti paesi, la maggior parte dei quali appartenenti a Svezia, Bermuda, Israele e Spagna. Il malware, che può controllare gli account social delle vittime, possiede diverse capacità:
- SEO poisoning, un metodo con il quale i criminali informatici creano siti web dannosi e usano tattiche di ottimizzazione nei motori di ricerca per mostrarli tra i primi risultati di ricerca. Questo metodo è anche usato nelle vendite come servizio per promuovere il ranking di altri siti.
- Ad Clicker, un'infezione del computer che funziona in background e si connette costantemente a siti web per generare “click” per l’adv, traendo quindi profitto dal numero di click appunto, che questo annuncio riceve.
- Promuovere gli account social, come YouTube e SoundCloud per dirigere il traffico verso contenuti specifici e aumentare le view e i click sugli annunci, generando così profitti.
- Promuovere prodotti online, per generare profitti con click sugli annunci o aumentare la valutazione dello store per incrementare le vendite.
Electron-bot è presente nei giochi di alcuni publisher, come Lupy games, Crazy 4 games, Jeuxjeuxkeux games, Akshi games, Goo Games, Bizon case e altri. Il suo funzionamento è piuttosto semplice: dopo aver scaricato un'applicazione malevola da Microsoft Store, in seguito all'installazione vengono eseguiti degli script inviati da server che consentono agli hacker di prendere il controllo del sistema gradualmente attraverso una serie di comandi. Questo comportamento consente anche ai cybercriminali di eludere il rilevamento, in quando gli script possono modificare il payload del malware ed il suo comportamento in qualsiasi momento.
Stando ad alcune prove, sembra che Electron-bot sia stata creato in Bulgaria, dato che si tratta del paese più presente nel codice sorgente, oltre al fatto che l'account Sound Cloud e il canale YouTube promossi dal bot sono sotto al nome di "Ivaylo Yordanow", wrestler e calciatore bulgaro.